いくつかの大学のサービスにアクセスするための簡単なデモ html (SSL 対応) フォームを作成しました。ユーザーは最初に大学 ID でログインする必要があります。
私の質問は、このページの所有者である私からのログイン データを暗号化する方法ですか? 出来ますか ?ユーザーが安心して使えるように。
1 に答える
2
チャレンジ/レスポンス認証を行い、常にハッシュ化されたパスワードを送信する HTTP ダイジェスト認証を使用できます。
Digest の問題は、UI が見苦しく、ログアウトがブラウザーに任されていることです (信頼できるログアウト リンクを設定することはできません)。
または、JavaScript で独自のチャレンジ/レスポンス メカニズムを実装することもできます (例: http://code.google.com/p/crypto-js/ )。
しかし、ユーザーはあなたがそれを行っているという保証がなく、安全なスクリプトを将来的に安全でないスクリプトに置き換えないという保証がないため、かなり無意味です。サイトの所有者 (またはサイトをハッキングする人物) は、いつでもスクリプトを変更してパスワードを「盗む」ことができます。
SSLは良いです。これは、クライアント側で実行できる最高の実際のセキュリティです。
サーバー側でパスワードを安全に保存していることを確認できます — bcrypt ( md5/sha1 ではなく)などの遅いハッシュでハッシュし、すべてのパスワードに一意のソルトを使用します。
于 2013-01-30T10:23:26.210 に答える